Ho visto molte Crypters pubblicizzate per aggirare l'antivirus e funzionano.
Il malware criptato da Crypter elude il rilevamento antivirus.
In che modo, programmaticamente o utilizzando uno strumento, puoi rilevare in modo affidabile un eseguibile crittografato?
Penso al comando strings e ad altri strumenti simili.
Con una corretta crittografia, potrebbe essere impossibile sapere che un file crittografato era in origine un eseguibile. Naturalmente, se viene ridistribuito nello stesso identico stato binario, i produttori di antivirus potrebbero identificare una firma per riconoscerla.
Un tale sistema di distribuzione richiederebbe che un processo fosse già presente sul computer client per decodificare ed eseguire il virus. Se così fosse, sarebbe possibile ingannare la crittografia per utilizzare una chiave variabile in un modo che il processo client sa come gestire, rendendo quasi impossibile la sua individuazione.
Inoltre, il processo che gestirà questo compito sarebbe la vera fonte del problema e potrebbe essere identificato dall'antivirus.
C'è uno strumento per rilevare .exes compressi chiamati PEiD .
Per quanto riguarda la buona conoscenza, controlla questa lettura su come rilevare i file .exes compressi in base a dati binari non elaborati.
Ci sono altri strumenti come RDG Packer Detector, ma la maggior parte di essi rileva specifici packer basati sul controllo delle firme, quindi praticamente allo stesso modo di un antivirus.
Leggi altre domande sui tag cryptography malware